[Edito de février 2014] Pénurie de compétences cyber : mythe ou réalité ?

La cybersécurité n’est pas à un paradoxe près. Si la cyberdéfense est aujourd’hui officiellement une priorité nationale, que le Ministère de la Défense va investir un milliard d’euros pour renforcer ses capacités défensives et offensives et que l’ANSSI continue sa croissance et sa montée en puissance, d’autres continuent de se plaindre d’une pénurie de compétences cyber. Et ça depuis de nombreuses années.

Paradoxal, car l’ANSSI et la DGA reçoivent beaucoup de bons CV et ne semblent pas avoir trop de problèmes pour recruter experts et futurs talents. Je ne peux pas m’avancer pour l’ANSSI mais la DGA l’a clairement affirmé lors du dernier petit-déjeuner débat du CyberCercle. L'Ingénieur en Chef de l'armement Guillaume POUPARD, Chef du Pôle Sécurité des Systèmes d'Information à la Direction Générale de l’Armement indiquait avoir reçu 300 CV de haut niveau et avoir recruté 36 personnes en 2013.

Mais si les services étatiques semblent de ne pas subir (pour le moment ?) cette « pénurie » d’experts en cybersécurité, ce sont les grands industriels (les Thales, Cassidian CyberSecurity maintenant Airbus Group Defence & Space, Bull, Orange Cyberdefence, Sogeti…) mais aussi les cabinets de conseil et d’audit qui n’hésitent pas à se plaindre de leur difficulté à recruter. Selon eux :

  • La demande est 4 fois supérieure à l’offre
  • La France manque de formations en cybersécurité
  • La concurrence étrangère est très forte : elle offre des salaires impossible à proposer en France
  • La concurrence de l’ANSSI et de la DGA qui « assèche » le vivier des experts français

Mais ces raisons sont-elles légitimes ?

Pour travailler dans un cabinet de conseil et d’audit, il semble évident qu’il est compliqué de recruter des experts ayant un peu d’expérience en sécurité. Les bons sont en poste, au service de l’Etat ou dans d’autres sociétés de service. Même si le turnover est important, il est difficile de recruter rapidement pour faire grandir les petites sociétés ou simplement pour répondre aux besoins des clients ! Mais il y a également de plus en plus de juniors qui arrivent sur le marché. Ils ont besoin d’être formés et de monter en compétences. Mais les industriels sont-ils prêts à le faire ? Les RH de ces grands groupes ne sont pas forcément les plus à même de juger du potentiel des jeunes diplômés en sécurité informatique. Ils recherchent généralement des jeunes qui savent tout faire et qui ont tout fait. Et qui sortent d’une très grande école d’ingénieur…

Manque-t-on de formations en cybersécurité ? L’ANSSI a récemment publié une carte des formations en sécurité des systèmes d’information. Elle liste 46 formations supérieures (de niveau Master donc Bac+5). On peut déplorer que les DUT et Licence ne soient pas identifiés. Mais cela signifie peut-être surtout que c’est ce niveau de formation qui souffre d’un manque de spécialités en sécurité informatique. Je ne connais personnellement que la licence CDAISI de l'Université de Valenciennes. Je ne pense donc pas que la France manque de formations en cybersécurité. Il faudrait sûrement développer l’offre de formations en Bac+3 car certains métiers ne nécessitent pas forcément un niveau Bac+5.

S'il est difficile de dire que la France manque de formations, peut-être manque-t-on surtout d’étudiants motivés et attirés par la filière cybersécurité, qui semble manque d’attrait. Il faut la rendre plus « sexy ». C’est donc surtout une question de communication et d’orientation des jeunes. Il faut aller sensibiliser les jeunes au lycée et à la sortie des DUT / Licence pour les encourager à se spécialiser ou à continuer vers des cycles d’ingénieur où la cybersécurité est enseignée.

Dernière hypothèse, les programmes en cybersécurité sont-ils vraiment adaptés aux besoins actuels des entreprises ? Mais quels sont ces besoins ? Est-ce que les entreprises et le monde de l'éducation se parlent-ils suffisamment ? L'ANSSI devrait peut-être se rapprocher du Ministère de l'Education Nationale.

Enfin la concurrence. Qu’elle vienne de l’étranger ou de l’ANSSI / DGA, elle est une réalité. Mais elle est complètement normale (on ne vit pas dans un monde de bisounours...) et une opportunité pour les experts en sécurité. Ils ont le choix et peu de chance de rester sans emploi très longtemps (un luxe, en ces temps de crise économique). Pourquoi peut-on penser à partir à l’étranger (chez Google, par exemple) ? Pour le salaire ? Les défis ? Pourquoi quitter le privé pour l’ANSSI ou la DGA ? Pour les défis ? Le sens de l’Etat ? Le patriotisme ? Sûrement pour toutes ces raisons légitimes.

Finalement, pour les industriels français et le secteur privé en général, chercher des excuses et surtout des bouc-émissaires à leur problème de recrutement, est un aveu d'impuissance. Depuis quelques années, ils échouent à attirer les meilleurs et à créer des vocations. Ce n’est pas qu’une question de salaire. Mais c’est certainement une question de « missions », de défis, de management, de géographie (regardez où sont installés certains grands industriels français…) et de gestion des carrières. Le mode « SSII » atteint clairement ses limites. Quand certains partent chez Google ou à l’ANSSI, c’est pour y trouver « autre chose ». Il est également de notoriété publique que la France a toujours eu du mal à valoriser les compétences techniques de nos experts et encore plus à leur offrir des perspectives de carrière intéressantes !

Mais les industriels et autres sociétés de services ne sont pas les seules à mettre en cause. Les clients finaux, OIV ou non, devront un jour investir dans la cybersécurité et ne pas se reposer seulement sur des prestataires qui, parfois, représentent 50 voire 100% des effectifs SSI de leur organisation.

Arrêtons le fatalisme

C’est aux entreprises de se remettre en question pour attirer de nouveaux candidats mais aussi récupérer les experts passés par les services étatiques qui sont régulièrement de retour sur le marché (à la fin de leurs contrats de 3 ou 6 ans). La mobilité entre privé et public est incontournable aujourd'hui. Une carrière se construira par des aller-retours entre les services de l'Etat et le secteur privé. Cela sera bénéfique pour tout le monde !

Il sera sûrement également nécessaire d’innover en terme de recrutement, de communication et de management pour casser l’image de la « SSII ». Non, tous les ingénieurs ou consultants ne sont pas interchangeables et ne peuvent pas être « staffés » à 120%. Ils ont besoin de faire de la veille, de la recherche, se rendre / intervenir à des conférences, écrire, développer de nouvelles offres, ou encore se former…

Le secteur de la cybersécurité a toutes les cartes en main pour attirer de futurs talents : il y a des emplois, des besoins, des défis, de vrais enjeux, une forte implication politique de l’Etat, une communauté de confiance qui se construit… Les métiers sont divers, les compétences sont très larges et nous sommes obligés d'évoluer en permanence pour nous adapter aux nouvelles menaces et opportunités. Analyser des malwares, remonter la piste d’une cyber attaque, construire une architecture sécurisée, développer de nouveaux algorithmes de chiffrement, développer des solutions de sécurité « françaises », auditer un système d’information critique, sensibiliser des dirigeants et des utilisateurs, « doxer » des cybercriminels : ce n’est pas assez « sexy » ?

Ce débat ne date pas d'aujourd'hui et je vous conseille de (re)lire cet article de Cédric "Sid" Blancher (RIP) qui  évoquait déjà ce sujet en décembre 2011. N'oubliez pas de lire non plus les très pertinents commentaires qui accompagnent le billet.

En 2014, qu'est-ce qui a vraiment changé ?

6 thoughts to “[Edito de février 2014] Pénurie de compétences cyber : mythe ou réalité ?”

  1. Analyse très juste d'après moi, même si l'offre de formation devrait encore s'étoffer.

  2. Très bonne analyse. Je note qu'il y a un fossé entre les discours ("la cybersécurité est notre top priorité") et la réalité de l'implémentation sur le terrain ... de manière générale les métiers techniques - et encore plus l'informatique - sont totalement déconsidérés en France. Et pour répondre à la question: ça ne risque pas de changer :/

  3. L'offre de spécialiste en cybersécurité n'est pas suffisante mais tant à se développer (même si on voit que les universités appréhendent la problématique plus lentement que les écoles privées).

    En revanche, un enjeux considérable se trouve au sein des formations d'informaticiens en générale qui ne reçoivent pas les bases en matière de cybersécurité. On pourrait ainsi laisser penser que si les étudiants reçoivent une initiation à la cybersécurité, alors peut-être qu'ils seront davantage à choisir la SSI comme spécialité. Mais cela ne règle pas la problèmatique de l'attrait général pour la matière...

  4. Et une autre chose que je noterai : tout le monde n'a pas forcément envie de travailler à Paris. J'aimerais énormément rentrer dans le monde de la cyber-sécurité, je fais de la veille depuis des années, je fais mes expériences dans mon coin... Mais presque toutes les offres dans ce domaine sont à Paris

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

This site uses Akismet to reduce spam. Learn how your comment data is processed.